ClickCease 원격 데스크톱 서버에서 데이터를 훔치는 데 사용되는 RDStealer

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

원격 데스크톱 서버에서 데이터를 훔치는 데 사용되는 RDStealer

2023년 7월 6일 TuxCare 홍보팀

레드클라우드라는 사이버 스파이 캠페인은 원격 데스크톱 연결을 통해 공유된 드라이브에서 데이터를 훔치기 위해 RDStealer라는 멀웨어를 사용하고 있습니다. 이 캠페인은 2022년부터 동아시아의 시스템을 표적으로 삼고 있으며, 중국의 국가적 후원을 받고 있는 것으로 추정됩니다.

RDStealer는 키로거, 지속성 설정기, 데이터 도난 및 유출 준비 모듈, 클립보드 콘텐츠 캡처 도구, 암호화/복호화 기능, 로깅 및 파일 조작 유틸리티를 제어하는 모듈식 악성코드입니다.

멀웨어는 원격 컴퓨터가 서버에 연결되어 있고 클라이언트 드라이브 매핑(CDM)이 활성화되어 있는 것을 감지하면 컴퓨터의 내용을 스캔하고 파일을 검색합니다. 또한 CDM 공격 벡터 외에도 감염된 웹 광고, 악성 이메일 첨부 파일, 사회 공학 전술을 통해 확산될 수 있습니다. RDStealer의 배후에 있는 조직은 매우 숙련된 것으로 보이기 때문에 앞으로 새로운 공격 벡터 또는 더 우수한 버전의 RDStealer가 등장할 가능성이 높습니다.

활성화되면 RDStealer는 \tsclient 네트워크 공유에서 C-H 드라이브의 가용성을 확인합니다. 드라이브가 발견되면 C2 서버에 알리고 연결된 RDP 클라이언트에서 데이터 유출을 시작합니다. 이 악성 코드는 특히 KeePass 암호 데이터베이스, SSH 개인 키, Bitvise SSH 클라이언트, MobaXterm 및 mRemoteNG 연결과 같이 측면 이동에 사용될 수 있는 자격 증명을 표적으로 삼습니다.

이 악성 코드는 수동 및 능동 DLL 사이드로딩 결함을 사용하여 탐지되지 않고 침해된 시스템에서 실행되며, Windows 관리 계측(WMI)을 활성화 트리거로 사용합니다.

그런 다음 RDStealer는 %WinDir%\System32, %WinDir%\System32\wbem, %WinDir%\security\database, %PROGRAM_FILES%\f-secure\psb\diagnostics, %PROGRAM_FILES_x86%\dell\commandupdate, 또는 %PROGRAM_FILES%\dell\md 스토리지 소프트웨어\md 구성 유틸리티에 폴더에 저장됩니다.

RDStealer 실행의 마지막 단계는 두 개의 DLL 파일, 즉 Logutil 백도어("bithostw.dll")와 해당 로더("ncobjapi.dll")를 활성화하는 것입니다.

Logutil 백도어는 위협 행위자가 감염된 디바이스에서 원격으로 명령을 실행하고 파일을 조작할 수 있는 맞춤형 Go 기반 백도어입니다. Logutil 백도어는 C2와 직접 통신하여 실행할 명령을 얻습니다.

이 글의 출처는 BleepingComputer의 기사입니다.

요약
원격 데스크톱 서버에서 데이터를 훔치는 데 사용되는 RDStealer
기사 이름
원격 데스크톱 서버에서 데이터를 훔치는 데 사용되는 RDStealer
설명
레드클라우드는 RDStealer라는 멀웨어를 사용하여 원격 데스크톱 연결을 통해 공유되는 드라이브에서 데이터를 훔칩니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기